2024年は難読化と仲良くなりたい

Transcript

1. 2024年は難読化と仲良くなりたい 登壇者：STORES 決済 Androidチーム　みっちゃん 1

2. 自己紹介 名前：みっちゃん（4月で３年目） 所属：STORES 決済 Androidチーム ナワバリ：おおさか My fun：犬！！猫！！ Twitter: @mimimi_engineer

   2

3. コンピュータプログラムの動作を変えずに、プログラムコードの内部的な手続き の内容・構造・データなどを、人間にとって読み取りにくくなるように改変・加 工すること。難読化されたコードは第三者によるプログラムの解読・解析が困難 になる。 参考：wikipedia 難読化 (ソフトウェア) 難読化ってなに？ 3

4. 変数や関数名を意味のない文字列に変換するなどしてコードを読みにく くし、悪意のあるユーザーからコードを守ることができる！ セキュリティ対策の一環！ 4

5. • R8（あーるえいと） Androidアプリの「圧縮」「難読化」「最適化」を行うのツールのこと！ どんなツールを使うの？ 5

6. • Android Gradle プラグイン 3.4.0 以上を使用したプロジェクトのビルドでは、デフォルト でR8 コンパイラと連携して、コンパイル時に圧縮・難読化・最適化が実行される • 難読化によってコードが悪意のあるユーザから守られる

   • 圧縮・最適化によってAndroidアプリ/ ライブラリのサイズが小さくなる 参考：Android Developer アプリの圧縮、難読化、最適化 R8（あーるえいと） 6

7. R8 は ProGuard ルールファイルを通じて、デフォルトの動作を変更したり、ア プリの構造を正確に把握したりできます。 参考：R8 の構成ファイル • <module-dir>/proguard-rules.pro 独自の

   ProGuard ルールをこのファイルに含めます。 どんなコードを書くの？ 7

8. ProGuardルールファイルに-keepを追加し、 特定のコードを削除しないように宣言することができる どんなコードを書くの？ 8

9. STORES 決済 はアプリだけでなくSDKも公開している 2023年12月27日夜 年明け1月4日から新バージョンSDKのQAを開始するための準備中、事件勃発。 2023年は難読化とケンカしちゃった 9

10. 事件勃発！ 新バージョンSDKのQA用アプリを用意するのに、 難読化ありでビルドが通らない・・・！

11. 難読化ってなに 先輩明日からお 休みですよね 29日休みたい だが28日一人で 解決できる自信 はない

12. ｳ､ｳﾜｧｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰｰ!!!!!（大混乱）

13. 落ち着いてエラーをみます。

14. HogeManagerクラスのgetInstance()というメソッドが参照できなくなっている

15. companion object内に定義されたメソッドの難読化回避はこうしてこう。 参考資料：keep rules companion object

16. ErrorTypesインターフェースのUNAUTHORIZEDという定数が参照できなくなっている

17. companion object内に定義された定数の難読化回避はこうしてこう。 参考資料：keep rules companion object

18. あれ！！できない！！！

19. ｱｯ・・・！！ classじゃなくてinterfaceだった！！

20. こうだ！

21. え・・・ダメなんだけど・・・

22. interface内のcompanion objectに定義された定数を難読化対象から外すような proguardルールはどう書けばよかったのか、結局わからなかった・・・

23. @Keepで難読化回避

24. @Keepアノテーションとは • @Keepも-keepと同じで難読化の対象から外す役割がある • ライブラリコードの中では使用しちゃだめ ◦ （🚨Android Developersにベストプラクティスとしての記載あり）

25. 2024年は・・・ 難読化は友達！怖くないよ！

26. おしまい 26